従来型セキュリティツール : 偽りの安心感に伴う高い代償
最新の Web アプリと API の保護ソリューションを購入したにもかかわらず、攻撃の被害が後を絶たないという悩みを抱えるセキュリティチームの話を何年も耳にしてきました。下調べを行い、提案書を依頼し、ベンダーとのやり取りを経てようやく信頼できるツールを手に入れたと思ったのに、攻撃を阻止することができず、安心感が不安へと変わります。
このような問題に悩まされているのは皆さんだけではありません。Fastly と Enterprise Strategy Group (ESG) による共同調査に基づくレポート「転換期を迎えた Web アプリと API のセキュリティ」では、調査に参加した企業は平均11種類ものセキュリティツールを使用しているにもかかわらず、これらの企業の82%が過去12か月に攻撃の被害に遭っているという実態が明らかになりました。
一体何が問題なのでしょう?平均11種類ものセキュリティツールを使用しているというのに、なぜ攻撃を効果的にブロックすることができないのでしょうか。北米、欧州、アジア太平洋、そして日本の500に上る組織のエンジニアリング、セキュリティ、IT、DevOps 分野のリーダーを対象に行ったこの調査では、皆さんにも覚えがあるかもしれない問題がいくつか浮かび上がりました。
相関関 係のないデータ、効率の悪い手作業のプロセス
最も多くの回答者 (32%) が挙げた課題は、複数のツールによって提供されるデータの相関分析に関するものでした。複数のベンダーの多様なツールの導入による異なるログ形式の混在や統合機能の欠如に加え、チームの人手不足の問題もあり、多くの企業がツール間でのデータの相関性の無さに悩まされているのも不思議ではありません。
さらに、回答者の30%が、必要な手作業がチームの効率を妨げていると答えています。従来のセキュリティツールには、ルールセットのカスタマイズとテストを必要とするものが少なくありません。実際、回答者の68%がデプロイ済みのセキュリティツールに新規ルールを最低月に一度は追加しており、有効性テストの実行に最低1週間かかると答えています。
ツールのカスタマイズやテストに膨大な時間がかかり、さらに何千ものデータセットのデータを解析するとなると、セキュリティ担当者やエンジニアは他の作業をする時間が ほとんどありません。より効率性に優れたツールは既存のツールセットやワークフローに統合でき、頻繁なカスタマイズを必要としません。
多発する誤検知と時間のかかる対応
せめてデプロイされている Web アプリケーションと API のセキュリティツールが優れた効果を発揮できるのであれば、ワークフローの非効率性は許せるかもしれません。しかしご存知の通り、従来型のセキュリティツールでは十分な効果を得ることもできません。
調査では、Web アプリケーションと API のセキュリティツールが1日に通知する平均53件のアラートの内、45%が誤検知であることが分かりました。ここで厄介なのは、調査に時間を費やした後でないと、アラートが誤検知かどうか判断できないことです。
回答者の46%が、攻撃によるシステムの平均ダウンタイムは数日であると答えましたが、同じく回答者の46%が、誤検知によるダウンタイムもほぼ同じ日数であると答えました。さらに衝撃的なのは、回答者の75%が、誤検知に対応するのに実際の攻撃への対応と同じ、もしくはそれ以上の時間を費やしているということです。
アプリケーション保護の戦略やプロセスの改善、スキルアップに利用できるはずの時間が誤検知の対応に費やされているというのは、非常に嘆かわしい事実です。今回の調査では、人手不足またはスキル不足のセキュリティチームが、アプリケーションを守るために日々苦戦している実態が浮かび上がりました。このような状況は、時間とリソースの無駄以外の何ものでもありません。攻撃自体だけではなく、攻撃の目的を理解してアプリケーションを保護できる最先端のセキュリティツールが必要です。
ツールは「オン」になっていないと意味がない
使いにくい上、時間と労力を無駄に消費するセキュリティツールにユーザーがうんざり するのも無理ありません。調査によると、回答者の53%がツールをフルブロックモードではなくログまたはモニタリングモードで運用していると答えています。さらに、12%がツールを完全にオフにしている、26%がオフにしたり、ログ/モニタリングモードを使用していると答えました。
つまり回答者の3割以上が、セキュリティツールを完全にオフにする方が、誤検知を管理するよりましな選択であると感じているわけです。さらに気掛かりなのは、これらのツールが導入後まもなくオフにされているという事実です。回答者の82%が、Web アプリケーションと API の保護ツール導入後1か月以内にツールの使用を停止したと答えています。
新しいアプローチの必要性
これらの結果を踏まえると、企業が新しいソリューションの導入を積極的に検討したいと考えているのも当然のことと言えます。さまざまなチーム間で使用可能な、統合されたセキュリティツールが必要とされているはことは明らかです。93%の回答者が、より 優れた効果を発揮し、異なるアプリケーションアーキテクチャや環境全体に一貫性のある保護を提供すると同時に、コストの削減も可能な統合セキュリティソリューションを採用して Web アプリケーションと API を保護することに関心がある、またはそのようなソリューションの導入を予定していると答えています。
今こそ、プロセスとセキュリティスタックのアップデートと統合を始めましょう。この喫緊の課題について詳しくは、レポートをダウンロードしてください。